Cyber Loop
Een model voor toekomstbestendige cyberweerbaarheid
Breng stakeholders bij elkaar om gezamenlijk te beslissen over uw strategie
The Cyber Loop
A Model for Sustained Cyber Resilience
Uniting stakeholders irrespective of role to make better decisions on cyber risk.
Download de whitepaperNiets is zo veranderlijk als cyberdreigingen
Business en IT wordt gevraagd verantwoording af te leggen over hun investeringen in cyberweerbaarheid. Het berekenen van Return on Security Investment (ROSI) is complex en (ervarings)data ontbreken nog.
Niets is zo veranderlijk als cyberdreigingen
Business en IT wordt gevraagd verantwoording af te leggen over hun investeringen in cyberweerbaarheid. Het berekenen van Return on Security Investment (ROSI) is complex en (ervarings)data ontbreken nog.
Aon’s Cyber Loop biedt elke organisatie de mogelijkheid in te stappen op ieder van de onderdelen. Eenmaal ingestapt, kunnen organisaties het risicomanagementproces actief doorlopen en de samenwerking zoeken. Daarbij zijn alle disciplines continu bezig met het beoordelen, verbeteren van en investeren in cyberweerbaarheid - op basis van data.
Weet u wat de financiële schade zal zijn bij een groot incident?
Heeft u een financieel model en de data om de Return on Security Investment (ROSI) te berekenen?
Cyber Loop
Een model voor toekomstbestendige cyberweerbaarheid
Assess
Inzicht krijgen en houden
Het onderdeel assessment geeft u inzicht in de cyberisico’s van uw organisatie, hoe weerbaar u bent en de mogelijke financiële impact bij een incident. Met de uitkomsten van Aon’s assessments kunt u beslissen waarin u investeert om cyberrisico’s te managen, voor welk deel van de financiële impact een cyberverzekering als financieel vangnet kan dienen, welk deel van deze impact uw organisatie zelf zal dragen en op welke manier.
Vragen die u zich kunt stellen:
- Van welke technologie, processen en data is onze organisatie sterk afhankelijk?
- Zijn we voorbereid op een cyberincident of cybercrisis? Wat zijn onze grootste risico’s en hoe kunnen deze ontstaan?
- Wat is de potentiële (financiële) impact wanneer deze risico’s zich manifesteren? En hoe presenteren we deze aan het management om strategie, governance en investeringsbeslissingen te ondersteunen?
- Wat is het volwassenheidsniveau van onze maatregelen en hoe verhouden deze zich met het actuele risicolandschap en de eisen van de organisatie? Hoe kunnen we bewijzen dat de huidige maatregelen effectief zijn?
- Eenmaal in de Cyber Loop, wat zijn onze volgende aandachtspunten?
- Welke investeringen leveren ons het meeste op en hoe kunnen we het bewijs hier voor leveren (ROSI)?
Recover
Mitigate
De impact van cyberincidenten minimaliseren.
Een gestructureerde aanpak om de organisatie te beschermen tegen de gevolgen van een cyberincidenten is tegenwoordig noodzaak. De cyberweerbaarheid kan verhoogd worden met behulp van frameworks, industrie-standaarden en hun security controls, maar inzicht op de financiële impact is beperkt. Met Aon’s werkwijze leggen we het verband tussen de risico’s van de belangrijkste geconstateerde (technische) zwakheden en de mogelijke financiële gevolgen. Zo kan de organisatie op basis van feiten beslissingen nemen over het implementeren of wijzigen van risico-mitigerende maatregelen en het maximaliseren van haar Return on Security Investment (ROSI).
Vragen die u zich kunt stellen:
- Zijn uw huidige maatregelen (controls) voldoende en in verhouding met de risico’s?
- Maken we gebruik van de juiste technologie, zijn ons beleid en de governance passend?
- Krijgen wij met nieuwe risico’s te maken bij verandering van bedrijfsactiviteiten, nieuwe partners of inzet van technologie?
- Maken we optimaal gebruik van onze beschikbare resources?
- Hoe gaan we om met een beperkt budget? Welke risico’s aanvaarden we? Welke verbeteringen kunnen toegevoegde waarde ontsluiten in de vorm van betere verzekeringspremies en -dekkingen?
Transfer
Financiële risico’s afdekken.
De impact van een cybercrisis wordt vaak onderschat: deze kan de continuïteit van een organisatie bedreigen. Aon’s aanpak om financiële risico’s te berekenen en verleggen, geeft het management een uniek inzicht in de schade die een cyberincident kan veroorzaken. Op basis van deze kennis beslist het management of zij het risico overdraagt (bijvoorbeeld in de vorm van een cyberverzekering als financieel vangnet) en welk deel van een mogelijke financiële impact de organisatie zelf draagt.
Vragen die u zich kunt stellen:
- Welke financiële impact willen we en kan de organisatie zelf dragen?
- Welke cybersecuritymaatregelen zijn het meest effectief om onze balans te beschermen?
- Wat is de dynamiek van de cyberverzekeringsmarkt en hoe moeten we er ons op instellen?
- Zijn er nog andere opties om de financiële impact te verleggen, zoals bijvoorbeeld captives? Kan ik gebruik maken van faciliteiten buiten mijn eigen regio?
- Hoe bereiden wij ons voor en hoe presenteren wij ons voor het overleg met verzekeraars?
- Welke informatie heeft een verzekeraar nodig om een voorstel voor een cyberverzekering te ontvangen; en hoe kunnen wij deze verzamelen?
Recover
Schade herstellen, verliezen beperken en vergoed krijgen
Snel reageren met een team van specialisten kan veel schade voorkomen. Ook is een goede voorbereiding met de juiste plannen belangrijk, net als het maken van afspraken over de beschikbaarheid van die specialisten en oefening op deze uitzonderlijke situaties. Al tijdens een incident helpt Aon om de impact ervan te kwantificeren. Met deze informatie behartigen wij uw belangen bij verzekeraars.
Vragen die u zich kunt stellen:
- Hebben we een up-to-date operationeel incident response plan, een disaster recovery plan, een business continuity plan?
- Hebben we de juiste specialisten beschikbaar wanneer een incident zich voordoet en hebben deze de goedkeuring van onze verzekeraar?
- Zijn het beleid en de uitvoering van incident response, crisis management en business continuity op elkaar afgestemd?
- Weten we welke schade verzekerd is, welke niet en wat de voorwaarden zijn?
- Wie behartigt onze belangen als het om claims gaat tijdens een cybercrisis?
- Hoe inventariseren we de schade en berekenen we deze, ook als het incident nog speelt?
Acht stappen die uw organisatie vandaag kan zetten om haar cyberweerbaarheid te verstevigen
Review uw huidige business continuity en disaster recovery plannen op cybergerelateerde aspecten. En oefen deze met een cyberscenario.
Benoem bekende ontbrekende maatregelen, zodat hiervoor budget vrijgemaakt kan worden.
Geef extra aandacht aan het reviewen van de bestaande governance, rollen en verantwoordelijkheden, om ransomware-aanvallen te voorkomen.
Bepaal van te voren wat bij verschillende scenario’s de verwachte maximale kosten zullen zijn van een incident of crisis.
Houd het niet bij het maken van plannen. Oefen die plannen periodiek en leg de ‘lessons learned’ vast.
Check contracten met leveranciers en klanten op cyberaspecten. En onderzoek jaarlijks of de verzekeringsvoorwaarden nog passend zijn.
Proactief informatie over cyberdreigingen gebruiken om de tactieken, technieken en procedures (TTP's) van cyberaanvallers te controleren.
Deel ervaringen met collega’s en leer ervan binnen de Cyber Loop.
Geef aandacht aan alle vier de onderdelen van de Cyber Loop, voor een toekomstbestendige cyberweerbaarheid. Overleg met stakeholders en leg de voortgang vast.
De beste cyberstrategie met heldere informatie en harde cijfers.
Praktijkvoorbeelden
Lees de praktijkvoorbeelden door te klikken op de Cyber Loop onderdelen.
- Assess
- Mitigate
- Transfer
- Recover
Case In Point
Explore case examples by clicking on the Cyber Loop entry points below.
- Assess
- Mitigate
- Transfer
- Recover
Startpunt:
Assess
Dekkingsverzoek afgewezen: Hoe een tegenslag aanleiding was om de Cyber Loop in te zetten.
Een retailorganisatie diende een aanvraag in voor de verlenging van haar cyberverzekering, maar deze werd tot haar verrassing afgewezen.
De reden? Deze retailer was op meer gebieden gevoelig voor aanvallen dan gebruikelijk in de sector.In dit geval beschikte de retailer over productiefaciliteiten, inclusief de ondersteunende operational technology (OT).
- Binnen het onderdeel Assessment van Aon’s Cyber Loop wordt een complete inventarisatie gemaakt van de huidige situatie. Met dit inzicht wordt bij het onderdeel Mitigate bepaald welke aanvullende mitigerende beheersmaatregelen genomen worden. In overleg met de verzekeraar en met hulp van Aon wordt afgesproken welke van deze maatregelen direct genomen moeten worden en welke binnen afzienbare tijd gerealiseerd moeten zijn om nu dekking te krijgen.
- Hier stopt het niet. De retailer besluit dat zij periodiek de Cyber Loop gaan doorlopen, zodat de cyberweerbaarheid van de organisatie blijft aansluiten bij de laatste ontwikkelingen van cyberdreigingen.
- Voor de afgesproken verbeteringen wordt voor iedere implementatie een tijdlijn opgesteld, waarbij de impact is gekwantificeerd.
Startpunt:
Mitigate
Directie zoekt naar zekerheid: is onze cyberrisicostrategie goed?
Binnen een organisatie hebben de betrokken afdelingen risicobeperkende maatregelen getroffen, maar de directie twijfelt of zij iets over het hoofd zien.
Waarom? Het dreigingslandschap is continu in beweging en het risico op bedrijfsonderbrekingen en financiële verliezen door nieuwe dreigingen neemt toe.
- Aon’s Kill Chain cyberbeveiligingsmodel wordt ingezet om kwetsbaarheden te identificeren en de gevolgen van aanvallen te voorkomen of te minimaliseren.
- Aon stelt in samenwerking met het interne team van de organisatie een organisatiebreed beheersprogramma op waarmee de directie inzicht krijgt in de meerjarenstrategie.
- Met de kennis die het interne team nu heeft opgebouwd, is zij steeds beter in staat om met elkaar periodiek de Cyber Loop te doorlopen.
Startpunt:
Transfer
Een te groot risico: een veelzijdig IT-landschap zorgt voor alarmbellen binnen de traditionele verzekeringsmarkt.
Een organisatie schrikt na het uitvoeren van een Cyber Impact Analyse van de enorme kosten die een cyberaanval kan veroorzaken. Zij besluit direct te informeren naar de mogelijkheden om haar risico’s te verzekeren. De twee benaderde verzekeraars kunnen het risico niet overzien en besluiten geen voorstel uit te brengen.
Waarom? De organisatie is onvoldoende op de hoogte van de verwachtingen van verzekeraars en hoe zij zich het best naar hen kan presenteren.
- De organisatie besluit Aon’s Underwriting Submission Proposal traject in te zetten.
- Binnen dit traject helpt Aon de organisatie om de huidige situatie helder en inzichtelijk vast te leggen en de belangrijkste marktvereisten te identificeren.
- Voor ontbrekende geïdentificeerde vereisten wordt een aanpak opgesteld en geborgd.
- Verzekeraars krijgen voldoende en de juiste informatie om bindende offertes uit te brengen.
- Betrokkenen van de organisatie worden voorbereid op de Cyber Insurance Market Meeting met verzekeraars.
- De aanvraag voor de cyberverzekering wordt ingediend en de organisatie kiest uit verschillende aanbieders.
- Transfer
- Mitigate
- Transfer
Startpunt:
Herstellen
Het is crisis: een ransomware-aanval verspreidt zich razendsnel, met mogelijk enorme financiële en reputatieschade.
Een toonaangevende reisorganisatie wordt getroffen door een ransomware-aanval. De effecten zijn direct zichtbaar binnen elk onderdeel van de internationale organisatie en binnen enkele uren ook bij klanten en leveranciers. Investeerders stellen vragen en de privacy-authoriteiten geven aan de situatie nauwlettend in de gaten te houden.
Waarom? De schade van een cyberincident kan zeer snel oplopen. En deze bestaat niet alleen uit bedrijfsstilstandschade, maar ook bijvoorbeeld imagoschade en de kans op boetes.
- De CEO schakelt met Aon over de inzet van Aon’s Incident Response team. Zij kunnen de reisorganisatie helpen de gevolgen te minimaliseren en terug te keren naar ‘business as usual‘.
- De cybercrisis wordt uitgebreid geëvalueerd onder leiding van de ervaren cybercrisis consultants van Aon en met de learnings verstevigt de reisorganisatie haar cyberweerbaarheid.
- Hierna zet de reisorganisatie in op de Cyber Loop-aanpak. Er volgt een plan van aanpak voor cybercrisismanagement en business continuity. En er vinden nu periodiek cyberoefeningen plaats.
Het is tijd voor integraal cyberrisicomanagement
Met de Cyber Loop managen de verschillende stakeholders binnen uw organisatie gezamenlijk de cyberweerbaarheid. Een continu lerende organisatie kan zo, op basis van harde cijfers, een hoge cyberweerbaarheid ontwikkelen.